Методы защиты информации в бизнесе

Один из самых распространенных способов защиты информации можно (условно) назвать физическим, поскольку его цель – создать препятствия для проникновения к источникам сведений тех, кому эти сведения знать не положено. Проще говоря, не пустить в помещение (здание, этаж, кабинет). Издавна средствами защиты информации служат высокие стены, крепкие двери и ворота.

Большинство компаний используют для этого пропускную систему: у сотрудников есть электронные или магнитные карточки, которые позволяют им беспрепятственно проходить в здание и в комнаты. Посетителям в бюро пропусков или на посту охраны выдают временные пропуска (либо такие же, как у сотрудников, либо бумажные). Небольшие компании, однако, могут экономить и обходиться без людей в форме у входа: сотрудники сами встречают посетителей и проводят их. Разумеется, крупным компаниям с большим количеством визитеров такая экономия неудобна.

Сюда же можно отнести и различные хранилища для документов: сейфы, металлические шкафы и т.п. Как правило, такие шкафы есть в отделе кадров (для хранения трудовых книжек), у директора и его заместителя, финансового директора или главного бухгалтера. В них могут находиться, разумеется, и печати компании, а также ценности (деньги).

Защита информации / Осмотр помещения

Многие компании, однако, не ограничиваются надежными замками, сейфами и пропускной системой с охранниками, а устанавливают дополнительно еще и видеокамеры, причем не только в здании, но и за его пределами, чтобы было видно огражденную территорию вокруг него.

В ночное время от проникновения злоумышленников офисы защищают сигнализацией, но некоторые компании имеют круглосуточную охрану.

Закон суров к болтунам

Действующее законодательство РФ охраняет в сфере бизнеса, прежде всего, два основных вида информации: это, с одной стороны, персональные данные сотрудника, а с другой – сведения, представляющие собой коммерческую тайну. За разглашение и тех и других предусматривается ответственность – от дисциплинарной и административной до уголовной.

Комментарий юриста

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Разглашение охраняемой законом тайны – популярное основание для увольнения сотрудников. Зачастую это становится формальным поводом для расторжения трудового договора с работником, нежелающим расставаться «полюбовно», либо при отсутствии у работодателя весомых доказательств какого-нибудь более серьезного нарушения трудовой дисциплины. Известны случаи, когда суды признавали законным увольнение сотрудника только за то, что тот отправлял документы фирмы на личную электронную почту.

Что касается персональных данных, то их защита регулируется главой 14 ТК РФ. Во-первых, она регламентирует, какие конкретно данные и каким образом вправе собирать работодатель. Так, сотрудники отдела кадров не имеют права выяснять, состоит ли сотрудник в какой-либо общественной или профсоюзной организации. Что еще более важно, они не должны без разрешения сотрудника собирать персональные сведения о нем «на стороне», то есть расспрашивать не его лично, а его знакомых, бывшего работодателя и т.д. в том числе, в соцсетях. Более того, такой сбор возможен лишь в том случае, если персональные данные иначе никак нельзя получить.

Методы защиты информации

Разумеется, компания обязана тщательно хранить сведения, полученные от работников. Доступ к ним могут иметь только специально уполномоченные лица, при этом необходимо учитывать, какие конкретно данные и для чего необходимы данному лицу. При этом работодателю запрещено предоставлять личные данные сотрудника другим компаниям или частным лицам в коммерческих целях, не заручившись его письменным разрешением.

Порядок обработки и хранения сведений, предоставленных сотрудниками, в компании должен быть строго регламентирован. Работникам должны быть представлены под роспись документы, в которых закреплены эти правила.

Сотрудник при этом может просматривать информацию, которую он о себе предоставил, обновлять или корректировать ее, а также копировать. Сотрудники также имеют право знать, каким образом обрабатываются их персональные данные.

Коммерческую тайну надо тщательно охранять

Еще один аспект информации, защищаемый законодательством – это конфиденциальные сведения самой компании. К ним относятся коммерческая тайна и инсайдерская информация (инсайд, как говорят участники рынка). Часто эти понятия совпадают, но не всегда.

Коммерческая тайна – это те сведения, которые могут помочь компании увеличить выручку или же избежать ненужных расходов, а также закрепить свое положение на рынке. К ним могут относиться различные изобретения, как запатентованные, так и без патентов, секреты производства, ноу-хау, а также придуманные компанией методы управления финансами, маркетинговые стратегии, сохраняемые в секрете от конкурентов.

Не менее тщательно компании охраняют от посторонних глаз и закрытую финансовую документацию, поскольку она также представляет ценность для конкурирующих фирм (см. также, как убедиться в сохранности данных при передаче расчета зарплаты на аутсорсинг).

Беречь коммерческую тайну компаниям помогает законодательство, карающее тех, кто решит ею поделиться. Так, статья 183 УК РФ гласит, что разглашение тайны сотрудником без ведома компании может лишить его одного миллиона рублей или же дохода за два года.

Не менее неприятными последствиями могут стать принудительные или исправительные работы, не говоря уже о тюремном заключении (до трех лет). Если компании болтливость сотрудника нанесла крупный ущерб, то наказание будет более суровым: штраф до полутора миллионов или до трехлетнего заработка, а тюремный срок – до пяти лет. Особо ретивые конкуренты также могут пострадать: за кражу документов или же подкуп либо угрозы в адрес чужих сотрудников, владеющих коммерческой тайной, им придется расплатиться полумиллионным штрафом, либо также отработать в пользу государства (до двух лет), либо потерять свободу на тот же срок. Впрочем, в исключительных случаях закон еще более суров и предусматривает даже семилетнее тюремное заключение.

Разумеется, чтобы следственные органы могли установить факт нарушения закона, а суд – покарать преступника, компания должна четко определить, какие же сведения составляют коммерческую тайну, и тщательно беречь ее. То есть информационная политика компании должна быть четко продуманной и регламентированной.

Для этого нужно принять правила обращения с секретными документами, определить, кто имеет право доступа к ним. Ответственность за разглашение коммерческой тайны прописывается в трудовых договорах с сотрудниках, а также в соглашениях с контрагентами. Обычно в таком документе указывается срок, в течение которого ее надо хранить в секрете. Доступ к информации, которую компания хотела бы не раскрывать посторонним, могут иметь представителя самых разных профессий и должностей – от переводчика до маркетолога, от секретаря до финансового директора. Компания также может разработать положение о коммерческой тайне.

Комментарий юриста

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Режим коммерческой тайны необходим для того, чтобы сохранить ценную информацию в секрете. Однако потребность в нем еще более возрастает, если компания намеревается поделиться своим секретом с третьими лицами. Так, передавая свое ноу-хау по лицензионному договору, компания прежде должна убедиться, что режим установлен в организации в полном соответствии с законом. В противном случае компания рискует остаться и без ноу-хау, и без денег.

Помимо коммерческой тайны сотрудники могут иметь доступ к профессиональной информации, которая также является секретной. Законодательство считает, что такие сведения обычно используют в работе врачи, адвокаты, нотариусы. Профессиональные тайны также охраняются законом (ст. 13 ФЗ от 21.11.2011 N 323-ФЗ, ст. 53 УПК РФ и другие документы)

Инсайд запрещен

Инсайдерская информация (или попросту инсайд) – это те сведения, которые могут повлиять на стоимость ценных бумаг компании и повлиять на ситуацию на рынке, если будут обнародованы. Неудивительно, что компании делают все возможное, дабы не допустить утечку этой информации или злоупотребление ею.

Наказание за злоупотребление инсайдом не так давно было четко прописано в российском праве, а именно, в Федеральном законе от 27.07.2010 N 224-ФЗ. Сведения, относящиеся к инсайду, закон не определяет, а описывает лишь круг лиц, которые могут владеть такой информацией. Список инсайдеров довольно большой, но, как правило, это руководство компаний, влиятельные акционеры, а также организаторы торгов и прочие лица, осуществляющие операции с ценными бумагами и финансовыми инструментами по поручению клиентов. Для обслуживающих организаций перечень инсайда установлен Банком России, а вот руководство компании вправе составить свой список таких данных.

Итак, что же грозит тем, кто решил не сохранять тайну инсайда и поделиться ею либо же заработать на ней? Вышеуказанный закон предусматривает следующие штрафы:

• для граждан – 3–5 тыс. рублей;
• для ответственных за принятие решений сотрудников –30–50 тыс. рублей или дисквалификацию до двух лет;
• для организаций и компаний – от 700 тыс. и вплоть до суммы, на которую был превышен доход (уменьшены убытки) по сравнению с ситуацией, при которой злоупотребления инсайдом бы не было.

Впрочем, указанные наказания не означают, что инсайдер, который решит обогатиться за счет доступных ему сведений, отделается столь сравнительно невысоким штрафом. Если инсайдер совершит благодаря владению такой информацией сделки с финансовыми инструментами или с валютой, которые принесут ему более 3 млн 750 тыс. рублей, или же даст рекомендации кому-то купить (либо продать) финансовые инструменты и валюту, что приведет к возникновению дохода у продавца (покупателя) в том же размере, то сумма штрафа окажется весьма существенной и может дойти до полумиллиона рублей (или заработка за три года) либо даже тюремным сроком до четырех лет. Если же нечестный инсайдер передаст (читай: продаст) такую информацию посторонним лицам, и они получат особо крупный доход, то он может быть наказан на сумму до миллиона рублей или оказаться в тюрьме на срок до шести лет.

Комментарий юриста

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

На практике одним из наиболее действенных методов защиты секретов фирмы является демонстративное увольнение сотрудника, грубо нарушившего правила обращения с секретной информацией. При наличии доказательств злого умысла работника (например, в случае «слива» инсайда конкурентам) компания может обратиться в правоохранительные органы для возбуждения уголовного дела. Такое развитие событий неизбежно станет достоянием коллектива и послужит сдерживающим фактором для других потенциальных нарушителей.

Компьютеры: строим «стены»

Главный предмет в современном офисе – это, безусловно, компьютер. В нем хранится множество самых разных данных, необходимых сотрудникам для работы, большинство из них являются конфиденциальными. Неудивительно, что защита компьютера – одна из важнейших задач ИТ-специалистов, ведь потеря данных может дорого обойтись компании в самом прямом смысле. Если точнее, то системным администраторам приходится решать сразу несколько задач: защищать компьютерную сеть от сбоев, которые могут привести к потере данных, от несанкционированного вторжения «чужаков», а также обеспечивать беспрерывный доступ к информации тех, кто имеет право ее использовать.

Рассмотрим сначала, из-за чего ценная информация может исчезнуть из компьютеров или подвергнуться нежелательной модификации. Такие неприятности могут возникнуть из-за перебоев электропитания, проблем с «железом», а также некорректной работы ПО: его ошибок (неправильная установка или обновление) или же заражения ПК вирусом или троянским конем. Проблемы, связанные с картами, серверами, кабелями и т.п. компании научились решать весьма неплохо. А вот предупреждать заражение вирусами на сегодняшний день на 100% эффективно не удается, пожалуй, никому.

Безусловно, вряд ли сейчас найдется фирма-«камикадзе», которая не установила на свои компьютеры антивирусные программы (а лучше – несколько) или не пользуется firewall для защиты информации от внешних угроз и атак. Существуют и специальные инструменты, препятствующие внедрению шпионских программ, способных считать конфиденциальную информацию. Но и хакеры не дремлют, совершенствуя и разрабатывая все новые и новые вирусы и хакерские программы, поэтому чувствовать себя в полной информационной безопасности не может никто. Тем не менее, любой компании важно понимать, что на защищающем ПО экономить не стоит – это тот случай, когда скупой может заплатить даже не дважды, а много раз.

Чтобы обеспечить конфиденциальность информации, системные администраторы, как правило, ставят пароли на компьютерах. На практике, однако, такая мера нередко оказывается фикцией: забывчивые сотрудники приклеивают стикеры с паролем от своего ПК на стол или на монитор. Поэтому помимо установки паролей на вход в компьютер (а иногда и на подключение к корпоративной почте) необходимо разъяснять сотрудникам специфику их генерирования и хранения и контролировать исполнение предписаний.

Комментарий юриста

Дмитрий Бородин, юрист группы технологий и инвестиций юридической фирмы VEGAS LEX

Внедряя режим коммерческой тайны, мы иногда рекомендуем клиентам рассмотреть те или иные IT-решения в этой сфере, так как вопрос защиты информации требует комплексного подхода. Это справедливо и для обратной ситуации: приобретая IT-решение, всегда необходимо привлекать к процессу юристов (внешних или внутренних) для того чтобы соблюсти требования законодательства и впоследствии иметь возможность привлечь нарушителей к ответственности. Случается, что правовой аудит системы информационной безопасности выявляет упущения, которые могли быть легко исправлены на этапе проектирования или внедрения системы. Внесение же изменений в уже полностью функционирующий продукт, как правило, обходится компании дороже, не говоря уже о рисках, о существовании которых компания может не подозревать до первого серьезного инцидента.

Есть компании, в которых до сих пор использовать интернет (либо же определенные программы, например, ICQ) имеют право не все сотрудники, для получения доступа необходимо разрешение руководства. С точки зрения защиты информации данную меру вряд ли можно назвать очень эффективной. В некоторых компаниях сотрудники информационного отдела выборочно просматривают корпоративную почту персонала в том числе с целью контроля за распространением сведений.

Источник: www.vegaslex.ru

Информационная безопасность для малого и среднего бизнеса

Если в прошлом году на ваш бизнес не было совершено ни одной кибератаки, считайте, что вам повезло. В новостях чаще говорят о утечках данных в крупных корпорациях, из-за которых страдают личные данные тысяч человек, но риску подвержен и мелкий бизнес. По 2018 г. «Лаборатория Касперского» приводит следующую статистику:

• В течение года 30,01% компьютеров интернет-пользователей в мире хотя бы один раз подверглись веб-атаке класса Malware.
• Решения «Лаборатории Касперского» отразили 1 876 998 691 атаку, которые проводились с интернет-ресурсов, размещенных в различных странах мира.
• Зафиксирован 554 159 621 уникальный URL, на которых происходило срабатывание веб-антивируса.
• Нашим веб-антивирусом зафиксировано 21 643 946 уникальных вредоносных объектов.
• Атаки шифровальщиков отражены на компьютерах 765 538 уникальных пользователей.
• За отчетный период майнерами были атакованы 5 638 828 уникальных пользователей.
• Попытки запуска вредоносного ПО для кражи денежных средств через онлайн-доступ к банковским счетам отражены на устройствах 830 135 пользователей.

Хакерские атаки и фишинговые мошенничества обходятся крупным и мелким компаниям в тысячи долларов, многие часы простоя и много нервов. Задумайтесь обо всех клиентских данных, которые хранятся на ваших серверах, – это данные кредитных карт, данные поставщиков и т.д. Сделайте расчеты; имеет смысл потратить время на то, чтобы рассмотреть риски и разработать план предотвращения утечек данных в вашей компании.

Чем крупнее компания, тем крупнее могут быть ее издержки из-за утечек данных. Вот почему крупный бизнес в первую очередь принимает защитные меры. Бизнес помельче может перенять опыт крупных компаний, учитывая при этом разницу в размерах компаний и внося соответствующие поправки в системы защиты. Давайте рассмотрим, чему можно научиться у крупных компаний.

Разделение бизнеса и личного

На ранних этапах развития малого бизнеса владельцы компаний часто не разделяют финансы личные и деловые. Если у вас нет инвесторов, то все средства идут из одного источника – от вас. Однако же, целесообразно завести бизнес-счет, который будет отдельным от вашего личного счета. Это не только облегчит подсчет налогов, но и повысит вашу безопасность – если один из этих счетов вдруг будет взломан, то второй останется в безопасности.

Защита данных всех видов

Большинство компаний защищают свои структурированные данные, т.е. данные с высокой степенью организации, например в базах данных или в других совокупностях файлов. При этом, крупные компании защищают еще и неструктурированные данные, к которым относятся, например, данные и информация, хранящаяся в почтовых ящиках сотрудников. Почтовые ящики – это слабое звено при кибератаках, и киберпреступники могут легко получить доступ к хранящимся в них ценным неструктурированным данным. Комплексный подход

к защите данных всех видов важен для бизнеса любого размера. Такая стратегия может включать использование защитного ПО, а также обучение сотрудников передовой практике по защите данных от утечек.

Доступ на основе служебной необходимости

Иногда сотрудники совмещают разные трудовые функции, из-за чего их круг обязанностей становится шире, а уровень риска повышается. Тревожный факт: многие утечки данных происходят из-за действий не киберпреступников, а сотрудников компаний, которые крадут информацию, к которой имеют рабочий доступ. Ограничивая доступ сотрудников к информации, вы снижаете риск утечки данных. Такой ограничительный подход к предоставлению доступа не означает, что вы не доверяете вашим сотрудникам; скорее, это показывает, что вы умный владелец бизнеса.

Быть в курсе

Не откладывать принятие решений – вот еще один урок, которому вы можете научиться у крупного бизнеса. Крупные компании почти всегда приглашают специалистов по кибербезопасности, которые обучают сотрудников передовым методам и способам защиты данных и сокращения рисков утечек. Это совсем не так дорого, как вы можете подумать – посмотрите на эти траты как на страховку, которая в итоге может сэкономить вам денег.

Если вам интересно узнать, как ваш малый бизнес может предотвращать, прогнозировать, распознавать утечки данных и принимать меры против них так же, как это делают крупные компании, загляните на страничку о решениях «Лаборатории Касперского» для малого бизнеса.

Дополнительные статьи и ссылки

• Что такое Интернет вещей?
• Защита гибридных и облачных сред
• Endpoint Security для бизнеса

Источник: www.kaspersky.ru

Конфиденциальная информация: как защитить корпоративные данные

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд.

Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций. Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

• Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
• Документы материальные и представленные в электронном виде.
• Технические средства носителей информации и их обработки.
• Выпускаемая продукция.
• Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

• Утечка информации.
• Искажение информации.
• Утеря информации.
• Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

• Деятельность с контрагентами на основе гражданско-правовых договоров.
• Запросы из государственных органов.
• Проведение переговоров с потенциальными контрагентами.
• Посещения территории предприятия.
• Документооборот.
• Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

• Акустический канал утечки информации.
• Визуальный канал.
• Доступ к компьютерной сети.
• Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

• Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
• Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

• Определить, какая информация подлежит или нуждается в защите.
• Оптимизировать защищаемые информационные потоки.
• Определить формы представляемой информации.
• Установить виды угроз защищаемой информации и варианты их реализации.
• Установить, кому может быть интересна защищаемая информация.
• Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
• Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
• Определить сроки актуальности защищаемой информации.

На что обратить внимание

• Использование гаджетов на территории предприятия.
• Удаленный доступ к информации.
• Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
• Настройка программного оборудования (особенно после обновления).
• Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
• Разграничение доступа к информации.
• Дробление информации на части.

5 принципов информационной безопасности

1. «Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.
2. «Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.
3. «Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.
4. «Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.
5. «Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

• Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
• Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
• Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
• Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

• Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
• Владельцам бизнеса;
• Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесь

Подпишитесь
на полезные статьи

Источник: uprav.ru